第七单元创建虚拟专用网络-局域网组建与管理.ppt

第七单元 创建虚拟专用网络 项目描述 现今许多企事业单位，都在使用计算机进行办公， 而且很多都是一些单位都通过其内部的“办公自动化 系统（OA）”进行无纸化办公，单位的一些审批、业 务也都是通过事先设定好的“流程”进行工作。因为安 全等诸多因素，用于OA的服务器不可能发布到 Internet上，如果单位的职工出差到外地，那他就不 能通过Internet直接访问单位内网的OA服务器。 项目分析 经过与用户交流（可由教师扮演用户角色），确定组建 VPN方案，具体要求： 1、保证外地出差员工能够通过VPN方式连接企业内网OA服务器 2、在保证外地出差员工VPN连接内网的基础上提高接入的安全 级别 3、保证企业总部网络和分支机构网络主机之间通过VPN方式连 接通信 4、在保证企业总部和分支机构网络连通的基础上提高连接的 安全级别 5、设备要求 （1）安装Windows Server 2003系统的服务器若干台 （2）Cisco 2811路由器若干台 其它设备综合考虑功能需求和经济性方面的要求。 项目实施过程 1、设计方案 2、购买设备 3、Windows Server 2003 VPN服务器配置 4、VPN客户端配置 5、CA证书服务器配置 6、路由器GRE VPN配置 7、路由器IPSec VPN配置 7.1 VPN概述 互联网是一个世界性的网络，由于其全球性， 它已成为一种受欢迎的互联远程站点的方式。然 而，Internet是一个公共的网络，企业通过 Internet来连接远程站点和传输数据，容易对企 业内部网络构成安全威胁。企业可以通过VPN技术 在互联网的基础上通过创建私有网络来提供机密 性和安全性的保障。 7.1.1 VPN概念 虚拟专用网（Virtual Private Network，VPN）是一种 新的组网技术。虚拟专用网实际上就是将Internet看做成 一种公共数据网（Public Data Network），这种公有网和 PSTN网在数据传输上没有本质的区别。因为从用户角度来 看，数据都被正确传送到了目的地。相对地，企业在这种 公共数据网上建立的用于传输企业内部信息的网络被称为 私有网。至于“虚拟”，则主要是相对现在企业Intranet的 组建方式而言的。通常企业Intranet相距较远的各局域网 都是用专用物理线路相连的，而虚拟专用网通过隧道技术 提供Internet上的虚拟链路， 在VPN中，任意两个节点之间的连接没有专用网络所需的 端到端的物理链路，而是利用公共网络资源动态组成的， 是通过私有的隧道（Tunnel）技术在公共网络上仿真一条 端到端的专线技术，如图7-1-1所示。 7.1.2 VPN的类型与应用 VPN涉及的技术和概念比较多，应用的形式也很丰富，其分类方式 也很多。不同类型的VPN侧重点也不同，有的注重访问的安全性，有的 注重数据传输速度，有的注重成本投资。了解VPN的类型与应用是选择 VPN实际应用方案的重要前提。 按照VPN实现技术的不同，可以将其划分为 基于隧道VPN、基于虚电路VPN和MPLS VPN，其中基 于隧道VPN最为常用。 1、基于隧道技术VPN （1）第二层隧道协议 （2）第三层隧道协议 （3）第四层隧道协议 2、基于虚电路技术VPN 3、基于MPLS VPN 按照VPN应用范围的不同，VPN可以分为三 类，分别为：远程访问虚拟专网（Access VPN、也 叫VPDN）、企业内部虚拟专网（Intranet VPN）和 扩展型企业内部虚拟专网（Extranet VPN）。 1、远程访问虚拟专用网 2、企业内部虚拟专用网 3、扩展型企业内部虚拟专用网 按照VPN网络结构的不同，可以划分为以 下三种类型： 1、基于VPN的远程访问 2、基于VPN的网络互联 3、基于VPN的点对点通信 按照接入方式划分 按照VPN客户端接入Internet的方式不同，可以 划分为以下二种类型： 1、专线接入VPN 2、拨号接入VPN 按照实现方式划分 按照VPN实现方式的不同，可以分为软件VPN和 硬件VPN两种类型。 1、软件VPN 2、硬件VPN 7.1.3 VPN的实现技术 隧道技术 隧道（Tunneling）技术是VPN的核心技术，它是利用Internet等公 共网络已有的数据通信方式，在隧道的一端将数据进行封装，然后通 过已建立的虚拟通道（隧道）进行传输。在隧道的另一端，进行解封 装操作，将得到的原始数据交给对端设备。在进行数据封装时，根据 在OSI参考模型中位置的不同，可以分为第二层隧道技术和第三层隧道 技术两种类型。 1、第二层隧道协议